https://medium.com/@GhasemiAsli/exploring-the-security-challenges-of-decentralized-applications-dapps-843e72e6cc29

اینو رایتاپ راجب باگ های وب 3 هستش و کمی شمارو با وب مدرن و آسیب پذیری هاش آشنا میکنه

بعد از دسترسی به سیستم عامل ویندوز و بررسی Privilege ها اگر این دو Privilege برای یوزرتون فعال بود:

شرایط مهیا هستش یا یوزرتون رو به System اسکلیشن کنید.

این پریویلیج به شما اجازه میده با توکن یوزر دیگه پروسز و ترد باز کنید!
حالا این که چطور توکن یوزر System رو بدست بیاریم یکم بحث مفصل تریه میتونین راجب اکسپلویت خانواده potato و نحوه کارش مطالعه کنید.

🔴 نکته:
IIS , SQL Server
بصورت دیفالت این Privilege هارو فعال دارن!


🖇 یه مقاله هم اضافه کردم برای مطالعه عمیق:
https://usersince99.medium.com/windows-privilege-escalation-token-impersonation-seimpersonateprivilege-364b61017070



@matitanium

🔴 اولین باج‌افزار هوش مصنوعی کشف شد؛ تهدیدی جدی به نام PromptLock

▪️همه این روزها درباره فرصت‌های عجیب‌وغریب هوش مصنوعی حرف می‌زنن، اما حالا روی دیگه‌ی ماجرا نمایان شده! محققان امنیتی شرکت ESET برای اولین بار از شناسایی باج‌افزاری به اسم PromptLock خبر دادن‌

▪️بدافزاری که از مدل‌های زبانی برای ساخت کدهای مخرب استفاده می‌کنه و هر بار یک اسکریپت متفاوت تولید میشه ؛ این باج‌افزار می‌تونه فایل‌ها رو فهرست‌برداری کنه، اطلاعات رو استخراج کنه و داده‌ها رو رمزگذاری کنه!

👻 روحی که جایگزین DLL شد!




🧠 Phantom DLL چیه دقیقاً

ایده‌ی اصلی اینه:

🔧 یه DLL قانونی رو لود می‌کنی،
🧼 بعدش محتواشو پاک می‌کنی،
🧠 بعد شل‌کدتو میریزی جای اون...
اما هنوز از بیرون، همه‌چی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی




💡 چرا بهش می‌گن Phantom؟

چون وقتی سیستم فایل DLL رو می‌خونه، می‌بینه هست.
ولی وقتی پروسس بسته بشه، DLL از روی دیسک پاک می‌شه…
یعنی عملاً یه فایل بی‌جسم داری که فقط تو حافظه هست.




⚒️ چجوری انجامش می‌دن؟

1 با CreateFile یا API مشابه، فایل DLL رو با فلگ FILE_FLAG_DELETE_ON_CLOSE باز کن


2 از CreateFileMapping برای مپ کردن محتواش تو حافظه استفاده کن


3 از MapViewOfFile برای دسترسی به حافظه


4 محتوا رو با VirtualProtect قابل نوشتن کن


5 کلش رو پاک کن و Shellcode یا DLL مخرب خودتو بریز


6 از CreateRemoteThread یا LoadLibrary جعلی برای اجرا استفاده کن






🔥 چرا خفن‌تر از Process Hollowing؟

خیلی از آنتی‌ویروس‌ها فقط دنبال PEهای اجراشده یا فایل‌های روی دیسکن

اینجا فایلی وجود نداره! (حداقل نه وقتی پروسس بسته شه)

لاگ‌هایی مثل Event ID 7 (Sysmon) چیزی نشون نمی‌دن چون DLL از روی دیسک نیست





🧪 تشخیص چیه؟

✅ بررسی PEهای لود شده با مقایسه بین هَش فایل روی دیسک و محتوای در حافظه

✅ ابزارهایی مثل PE-sieve، Volatility و Cuckoo می‌تونن شناسایی کنن:

pe-sieve64.exe /pid <pid> /shellc /imp

🔍 همچنین می‌تونی با بررسی inconsistency بین module path و state حافظه پیداش کنی.




🎯 کجا استفاده می‌شه؟

APTهای جدی مثل FIN7، Lazarus و حتی بعضی rootkitها توی مراحل نهایی استفاده‌ش می‌کنن برای payload injection توی DLL قانونی




🧠 جمع‌بندی:

> Phantom DLL Hollowing = تزریق نامرئی!
نه فایل هست، نه رد پای واقعی… فقط یه شبح توی حافظه که کار خودشو میکنه

نهایتن این کار برای دور زدن آنتی ویروس هاست

جوری که رد‌پای زیادی نداشته باشیم

یک dll که بصورت قانونی روی مموری لود شدرو بر میداریم کامل خالی میکنیم🗿

بعد InMemory بدون درگیری با دیسک محتوای خودمونو جایگزینش میکنیم…

🖥 بعد از دسترسی به یک سرور ویندوزی A و ریکان شبکه داخلیش متوجه شدم هاست های دیگه ای هستن داخل شبکه,
شبکه Workgroup بود...

روی یکی از ویندوز های داخلی سازمان SQL Server بود که ما ویندوز سرور B در نظر میگیریم.
بعد از گشتن و بررسی کامل سرور A اطلاعات کانکشن به دیتابیس در ویندوز B پیدا شد...

📍استک کويری رو فعال کردم روش و Lateral Movment انجام شد...


در هاردنینگ درون سازمانی خودتون بشدت دقت کنید که با تسخیر یک سرور کل شبکتون تحت کنترل مهاجم در نیاد.:)

@matitanium

حین کار، با یه پروژه رو به رو شدم
کامل داکیومنتشو نخوندم

ولی اینو چک کنید:)

https://www.trydeepteam.com/

Evil Notepad++ PoC

https://github.com/zer0t0/CVE-2025-56383-Proof-of-Concept

#Article

چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم

تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.

تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانه‌ای (DLL) را که توسط یک فرایند قانونی فراخوانی می‌شود با یک کتابخانه‌ی مخرب جایگزین می‌کنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجان‌های بانکی) و هم توسط گروه‌های APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده می‌شود. در سال‌های اخیر تعداد حملات DLL hijacking به‌طور قابل توجهی افزایش یافته است.

برای جزئیات فنی و نتایج آزمایش‌ها می‌توانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.

پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉

🦅 کانال بایت امن | گروه بایت امن
_

APT28 LAMEHUG
اولین بدافزار مجهز به هوش مصنوعی

گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می‌ برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.

معماری فنی

اجزای اصلی:
- زبان برنامه‌نویسی: پایتون
- بسته‌بندی: PyInstaller (فایل‌های .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامه‌نویسی (API): Hugging Face Inference API
- روش تحویل: ایمیل‌های فیشینگ حاوی فایل‌های ZIP

رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن‌ ها را به دستورات سیستمی تبدیل می‌ کند که روی دستگاه آلوده اجرا می‌ شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت داده‌ها را بدون نیاز به برنامه‌نویسی دستورات خاص فراهم می‌کند.

مکانیزم عملکرد

مرحله ۱: آلودگی

Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable 

مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواست‌هایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال می‌کند:
"تولید دستورات ویندوز برای جمع‌وآوری اطلاعات سیستمی شامل سخت‌افزار، پروسس ها، سرویس‌ ها و پیکربندی شبکه"

مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می‌ گرداند و LAMEHUG آن‌ ها را از طریق cmd.exe اجرا می‌کند:

cmd.exe /c "mkdir %PROGRAMDATA%\info && 
systeminfo >> %PROGRAMDATA%\info\info.txt && 
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt && 
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt && 
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt && 
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt && 
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt && 
tasklist >> %PROGRAMDATA%\info\info.txt && 
net start >> %PROGRAMDATA%\info\info.txt && 
ipconfig /all >> %PROGRAMDATA%\info\info.txt && 
whoami /user >> %PROGRAMDATA%\info\info.txt && 
whoami /groups >> %PROGRAMDATA%\info\info.txt && 
net config workstation >> %PROGRAMDATA%\info\info.txt && 
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"

مرحله ۴: جمع‌ آوری و استخراج داده‌ ها
- جستجوی بازگشتی در پوشه‌ های Documents، Desktop، Downloads
- آماده‌ سازی فایل‌ ها برای استخراج
- انتقال داده‌ ها از طریق SFTP یا HTTP POST.

گونه‌های بدافزار

سه نسخه شناسایی شده است:

1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمع‌آوری اطلاعات سیستمی
- استخراج داده‌ها از طریق SFTP

2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیت‌های پیشرفته‌ تر تولید دستورات
- روش‌ های جایگزین استخراج داده
- دور زدن محدودیت‌ های مدل زبانی

3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی

شاخص‌ های فنی

آرتیفکت‌ های فایل:
- %PROGRAMDATA%\info\info.txt 
- اطلاعات سیستمی
- Appendix.pdf.pif 
پیلود اصلی
- AI_generator_uncensored_Canvas_PRO_v0.9.exe

- نسخه جایگزین

شاخص‌ های شبکه‌ای:

- سرورهای C2: 144.126.202.227, 192.36.27.37
- دامنه‌ها:
boroda70@meta.ua, stayathomeclasses.com

- API: inference.huggingface.co (Qwen 2.5-Coder)

- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0

هش فایل‌ ها:

- 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
- a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715

روش‌ های شناسایی

1. نظارت بر فعالیت فایل:

 Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public

2. شناسایی جاسوسی:

   - اجرای چندین دستور شناسایی در بازه زمانی کوتاه:
whoami, systeminfo, wmic, ipconfig, net, tasklist

3. نظارت شبکه‌ای:

   - اتصالات به نقاط پایانی API مدل‌های زبانی:
     - inference.huggingface.co
     - api.openai.com
     - generativelanguage.googleapis.com
     - api.anthropic.com`

کم کم نوبت آفنسه:))

ایونت خیلی خوبی بود…

با‌حضور کمپانی ها:
اسنپ
بله
تپسی

@matitanium

بیش از 200 گزارش امنیتی از کمپانی های شرکت کننده در ایونت کشف و گزارش شد…


🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن


💵در مجموع بیش از 2‌میلیارد تومن جایزه به متخصصین اهدا شد

با حضور نمایندگان پلیس فتا تهران بزرگ

@matitanium

🔴 رفتارشناسی گروه‌های فعال APT در زیرساخت‌های فناوری اطلاعات ایران

مهر ۱۴۰۴

#گزارش #گراف

At this week’s Microsoft BlueHat IL conference, Benjamin Delpy - widely respected for his work with Mimikatz - delivered what appears to be the first industry leak of Mimikatz 3.0.0 in a live demo. For those of us who have used Mimikatz extensively, this update is particularly intriguing. Delpy made it clear from the outset that this version won’t be publicly released anytime soon - a move that suggests significant shifts ahead.

⚠️ ALERT: A Chrome zero-day (CVE-2025-2783) was exploited to deliver spyware built by Memento Labs — the firm behind past government surveillance tools.

One click in Chromium = full sandbox escape.

Read this → https://thehackernews.com/2025/10/chrome-zero-day-exploited-to-deliver.html

دوستان لطفا داخل پروفایل لینکدینتون یا رزومتون ایمیلتون رو نزارید🙏

اگر هم میزارید ایمیلی باشه که هیج جا باهاش رجیستر نکردین❗️

شماره یا ایمیل یا هرچیزی که بهتون پوینت میشرو پاک کنید.

این چیزی که سردار زده خیلی تمیزه🤌🏻